|
其实也这个文章不是教大家去破解别人的wordpress网站,而是提醒大家提高警惕,注意网站安全。
FIRST,首先介绍下如何爆破wordpress后台密码:
用到一个软件 来爆破,其实原理和爆破3389服务器是一样的,爆破成功的首要也是最重要的因素就是强大的密码字典
像这种
然后就是通过软件来爆破逐一猜解,看下软件界面把
 
注意 上面软件要提供wordpress后台路径才可以破解,但是由于wordpress设置,我发现大多数的wordpress站点的后台都是http://www./wp-login.php呵呵其实我的也是,所以这样就很容易被发现后台,然后就能进行下一步的爆破。。只要有强大的密码字典,爆破你的网站就不是什么难事了,如果一旦被爆破后你的网站就危险了。。
所以说我们应该在日常注意我们wordpress网站的安全,那么我们应该怎么防范或者怎么预防被爆破呢?
老邢在这提出几点建议看法来防范(以下仅作者意见建议,不当之处请包涵···)
一、更改wordpress后台登入路径。
这样别人就找不到你的后台目录,自然也就不能爆破你的网站了。
方法:
我能想到的就是后台设置改变安装地址的方法,也就是想办法让wp-admin从根目录下“消失”其实是改变wp-admin的路径,以此得到隐藏后台的效果。(如果你是新安装用户,可以省去移动图片,附件的麻烦)
第一步:登录后台,设置->把安装地址后面加上一个/b。例如:
第二步:在根目录下,建立一个文件夹这是我们起名“b”同时把重要核心文件移置进去(图片、附近URL,可以不用移动)
第三步:把index.php文件,和.htaccess文件,robots.tex等与wordpress没有关联的文件,再次移动根目录下!
第四步:打开index.php文件,修改”require(‘./wp-blog-header.php’);为 require(‘./b/wp-blog-header.php’);”
那登录后台的地址是什么呢?答案:http://你的域名/b/wp-admin; 但是注意:此方法也会有缺点:
1.升级会让人头痛,因为你必须还得把文件移回去,移回去可以升级完成,那当然不错,怕的是出现别的正常规的问题。
2.老用户图片附件会很多,移动目录更不是件轻松的事.
二. 用户名不要使用默认的“admin”(如果可以,最好删除”admin”用户)
安装WordPress时会自动生成一个名为admin、具有管理权限的用户。 黑客会使用暴力破解法尝试破解我们的用户名和密码,如果不以admin为用户名,密码被破解的机率会降低很多。 相对于降低admin的许可权限,删除admin是一个更好的方法。
要删除admin用户,首先要在WordPress控制板中创建一个具有管理权限的新用户。为新用户命名时最好选用不易被猜到的名称。 创建新用户后就可以删除admin用户了。
为了防止遭到暴力破解攻击,我们最好安装一款Login Lockdown
Plugin插件。这款插件可以记录WordPress网站尝试登陆失败的所有IP地址和时间。
如果短期内某个IP地址登陆失败超过一定次数,该插件会封锁这个IP地址并不再允许来自这个IP地址的登录尝试。 用户可以自行设定尝试登陆的次数。
三. 加密WordPress相关cookies
加密存储在WordPress cookies中的信息也可以巩固WordPress的安全性。我们可以用WordPress密钥生成工具来进行加密。
从密钥生成工具中获取随机生成的代码,将代码复制到wp-config.php文件中。
这样黑客就不能轻易通过cookie劫持访问我们的WordPress管理界面了。
四. 使用安全级别较高的密码
 使用较为复杂的密码是最有效的保护措施之一。 网络上有很多工具可以测试密码强度。 例如Microsoft网站上有一个叫做Password checker的、基于网络的免费密码强度测试工具。 WordPress也有一个内置的密码强度测试器 。
提高后台管理员密码的安全等级,意思就是加强密码强度,多位数密码,数字字母大小写标点符号混用等,这个就是防止你的后台被别人发现后,用密码字典进行爆
破,所以,只要你的密码是独一无二的或者很复杂的,别人就很难爆破。不要用常见的弱口令,就像上面图3上面的字典里的密码一样。
所以写这篇文章的目的就是提醒大家网络有风险,建站需谨慎,日常一定要注意自己网站安全。
本文由老邢的博客独家发布 部分方法资料参考自网络,由http://www. 整理编写发布,转载请注明出处。
|
